Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Arbeitsblätter für die Administratorauthentifizierung und die RBAC-Konfiguration

Beitragende

Bevor Sie Login-Konten erstellen und die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) einrichten, sollten Sie Informationen für alle Elemente in den Konfigurationsarbeitsblättern sammeln.

Erstellen oder Ändern von Anmeldekonten

Sie stellen diese Werte dem zur Verfügung security login create Befehl, wenn Sie Anmeldekonten für den Zugriff auf eine Storage-VM aktivieren. Sie stellen dieselben Werte mit bereit security login modify Befehl, wenn Sie ändern, wie ein Konto auf eine Storage-VM zugreift.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, auf die das Konto zugreift. Der Standardwert ist der Name der Admin-Storage-VM für das Cluster.

-user-or-group-name

Der Benutzername oder der Gruppenname des Kontos. Wenn Sie einen Gruppennamen angeben, können Sie auf jeden Benutzer in der Gruppe zugreifen. Sie können einem Benutzernamen oder Gruppennamen mehrere Anwendungen zuordnen.

-application

Die Applikation, die für den Zugriff auf die Storage-VM verwendet wird:

  • http

  • ontapi

  • snmp

  • ssh

-authmethod

Die Methode, die zur Authentifizierung des Kontos verwendet wird:

  • cert Für die SSL-Zertifikatauthentifizierung

  • domain Für die Active Directory-Authentifizierung

  • nsswitch Für LDAP- oder NIS-Authentifizierung

  • password Für die Authentifizierung von Benutzerpasswörtern

  • publickey Für die Authentifizierung eines öffentlichen Schlüssels

  • community Für SNMP-Community-Strings

  • usm Für SNMP-Sicherheitsmodell

  • saml Für die SAML-Authentifizierung (Security Assertion Markup Language)

-remote-switch-ipaddress

Die IP-Adresse des Remote-Switch. Bei dem Remote-Switch kann es sich um einen Cluster-Switch-Switch-Health-Monitor (CSHM) oder einen Fibre Channel (FC)-Switch handelt, der von der MetroCluster-Systemzustandsüberwachung (MCC-HM) überwacht wird. Diese Option ist nur anwendbar, wenn die Anwendung ist snmp Und die Authentifizierungsmethode lautet usm.

-role

Die Zugriffskontrollrolle, die dem Konto zugewiesen ist:

  • Für das Cluster (die Admin-Storage-VM) ist der Standardwert admin.

  • Für eine Storage-VM ist der Standardwert vsadmin.

-comment

(Optional) Beschreibungstext des Kontos. Sie sollten den Text in doppelte Anführungszeichen (") einschließen.

-is-ns-switch-group

Gibt an, ob es sich bei dem Konto um ein LDAP-Gruppenkonto oder ein NIS-Gruppenkonto handelt (yes Oder no).

-second-authentication-method

Zweite Authentifizierungsmethode bei Multi-Faktor-Authentifizierung:

  • none Bei Nichtnutzen der Multi-Faktor-Authentifizierung ist der Standardwert

  • publickey Für die Authentifizierung eines öffentlichen Schlüssels, wenn der aktiviert ist authmethod Ist Passwort oder nsswitch

  • password Für die Authentifizierung von Benutzerpasswörtern, wenn der verwendet wird authmethod Ist ein öffentlicher Schlüssel

  • nsswitch Für die Authentifizierung von Benutzerpasswörtern, wenn die authmethod Publikkey ist

Die Reihenfolge der Authentifizierung ist immer der öffentliche Schlüssel gefolgt vom Passwort.

-is-ldap-fastbind

Beginnend mit ONTAP 9.11.1, wenn auf true gesetzt, aktiviert LDAP fast bind für nswitch Authentifizierung; der Standardwert ist false. Um LDAP fast Bind zu verwenden, wird der verwendet -authentication-method Wert muss auf gesetzt werden nsswitch. "Erfahren Sie mehr über LDAP fastbind für nswitch Authentifizierung."

Konfigurieren Sie die Sicherheitsinformationen von Cisco Duo

Sie stellen diese Werte dem zur Verfügung security login duo create Befehl, wenn Sie die zwei-Faktor-Authentifizierung des Cisco Duo mit SSH-Anmeldungen für eine Storage-VM aktivieren.

Feld

Beschreibung

Ihr Wert

-vserver

Die Speicher-VM (in der ONTAP-CLI als vServer bezeichnet), auf die die Duo-Authentifizierungseinstellungen zutreffen.

-integration-key

Ihr Integrationsschlüssel, den Sie erhalten, wenn Sie Ihre SSH-Anwendung bei Duo registrieren.

-secret-key

Ihr Geheimschlüssel, den Sie erhalten, wenn Sie Ihre SSH-Anwendung bei Duo registrieren.

-api-host

Der API-Hostname, der beim Registrieren Ihrer SSH-Anwendung bei Duo ermittelt wird. Beispiel:

api-<HOSTNAME>.duosecurity.com

-fail-mode

Bei Service- oder Konfigurationsfehlern, die die Duo-Authentifizierung verhindern, schlägt fehl safe (Zugriff zulassen) oder secure (Zugriff verweigern). Die Standardeinstellung lautet safe, Was bedeutet, dass die Duo-Authentifizierung umgangen wird, wenn sie aufgrund von Fehlern wie dem Duo-API-Server nicht zugänglich ist.

-http-proxy

Verwenden Sie den angegebenen HTTP-Proxy. Wenn der HTTP-Proxy eine Authentifizierung erfordert, geben Sie die Anmeldeinformationen in die Proxy-URL ein. Beispiel:

http-proxy=http://username:password@proxy.example.org:8080

-autopush

Entweder true Oder false. Standard ist false. Wenn true, Duo sendet automatisch eine Push-Login-Anfrage an das Telefon des Benutzers, um zu einem Anruf zurückkehren, wenn Push nicht verfügbar ist. Beachten Sie, dass dadurch die Kenncode-Authentifizierung effektiv deaktiviert wird. Wenn false, Der Benutzer wird aufgefordert, eine Authentifizierungsmethode auszuwählen.

Bei Konfiguration mit autopush = true`Wir empfehlen die Einstellung `max-prompts = 1.

-max-prompts

Wenn sich ein Benutzer nicht mit einem zweiten Faktor authentifizieren kann, fordert Duo den Benutzer auf, sich erneut zu authentifizieren. Mit dieser Option wird die maximale Anzahl von Eingabeaufforderungen festgelegt, die Duo vor dem verweigern des Zugriffs anzeigt. Muss sein 1, 2, Oder 3. Der Standardwert ist 1.

Beispiel: Wann max-prompts = 1, Der Benutzer muss sich bei der ersten Eingabeaufforderung erfolgreich authentifizieren, während wenn `max-prompts = 2`Wenn der Benutzer bei der ersten Aufforderung falsche Informationen eingibt, wird er aufgefordert, sich erneut zu authentifizieren.

Bei Konfiguration mit autopush = true`Wir empfehlen die Einstellung `max-prompts = 1.

Für die beste Erfahrung wird ein Benutzer mit nur publickey Authentifizierung immer haben max-prompts Auf einstellen 1.

-enabled

Zwei-Faktor-Authentifizierung für Duo aktivieren. Auf einstellen true Standardmäßig. Wenn diese Option aktiviert ist, wird die Duo-zwei-Faktor-Authentifizierung während der SSH-Anmeldung gemäß den konfigurierten Parametern erzwungen. Wenn Duo deaktiviert ist (auf eingestellt false), Duo-Authentifizierung wird ignoriert.

Definieren benutzerdefinierter Rollen

Sie stellen diese Werte dem zur Verfügung security login role create Befehl, wenn Sie eine benutzerdefinierte Rolle definieren.

Feld

Beschreibung

Ihr Wert

-vserver

(Optional) der Name der Storage-VM (in der ONTAP-CLI als vServer bezeichnet), die mit der Rolle verknüpft ist.

-role

Der Name der Rolle.

-cmddirname

Der Befehl oder das Befehlsverzeichnis, auf das die Rolle Zugriff erhält. Sie sollten Unterverzeichnisnamen in doppelte Anführungszeichen (") einschließen. Beispiel: "volume snapshot". Eingabe ist erforderlich DEFAULT So geben Sie alle Befehlsverzeichnisse an.

-access

(Optional) der Zugriffsebene für die Rolle. Für Befehlsverzeichnisse:

  • none (Der Standardwert für benutzerdefinierte Rollen) verweigert den Zugriff auf Befehle im Befehlsverzeichnis

  • readonly Gewährt Zugang zum show Befehle im Befehlsverzeichnis und seinen Unterverzeichnissen

  • all Gewährt Zugriff auf alle Befehle im Befehlsverzeichnis und seinen Unterverzeichnissen

Für nonintrinsische Befehle (Befehle, die nicht enden create, modify, delete, Oder show):

  • none (Der Standardwert für benutzerdefinierte Rollen) verweigert den Zugriff auf den Befehl

  • readonly Ist nicht zutreffend

  • all Gewährt Zugriff auf den Befehl

Um den Zugriff auf intrinsische Befehle zu gewähren oder zu verweigern, müssen Sie das Befehlsverzeichnis angeben.

-query

(Optional) das Abfrageobjekt, das zum Filtern der Zugriffsebene verwendet wird, die in Form einer gültigen Option für den Befehl oder für einen Befehl im Befehlsverzeichnis angegeben ist. Sie sollten das Abfrageobjekt in doppelte Anführungszeichen (") einschließen. Beispiel: Wenn das Befehlsverzeichnis lautet volume, Das Abfrageobjekt "-aggr aggr0" Würde den Zugriff für den aktivieren aggr0 Nur Aggregat.

Einem Benutzerkonto einen öffentlichen Schlüssel zuordnen

Sie stellen diese Werte dem zur Verfügung security login publickey create Befehl, wenn Sie einen öffentlichen SSH-Schlüssel einem Benutzerkonto zuordnen.

Feld

Beschreibung

Ihr Wert

-vserver

(Optional) der Name der Speicher-VM, auf die das Konto zugreift.

-username

Der Benutzername des Kontos. Der Standardwert, admin, Dies ist der Standardname des Cluster-Administrators.

-index

Die Indexnummer des öffentlichen Schlüssels. Der Standardwert ist 0, wenn der Schlüssel der erste Schlüssel ist, der für das Konto erstellt wird. Andernfalls ist der Standardwert eine mehr als die höchste vorhandene Indexnummer für das Konto.

-publickey

Der öffentliche OpenSSH-Schlüssel. Sie sollten den Schlüssel in doppelte Anführungszeichen (“) setzen.

-role

Die Zugriffskontrollrolle, die dem Konto zugewiesen ist.

-comment

(Optional) Beschreibungstext für den öffentlichen Schlüssel. Sie sollten den Text in doppelte Anführungszeichen (") einschließen.

-x509-certificate

(Optional) ab ONTAP 9.13.1 können Sie die Zuordnung des X.509-Zertifikats zum öffentlichen SSH-Schlüssel verwalten.

Wenn Sie ein X.509-Zertifikat mit dem öffentlichen SSH-Schlüssel verknüpfen, überprüft ONTAP bei der SSH-Anmeldung, ob dieses Zertifikat gültig ist. Wenn sie abgelaufen ist oder widerrufen wurde, ist die Anmeldung nicht zulässig und der zugehörige öffentliche SSH-Schlüssel ist deaktiviert. Mögliche Werte:

  • install: Installieren Sie das angegebene PEM-kodierte X.509-Zertifikat und verknüpfen Sie es mit dem öffentlichen SSH-Schlüssel. Fügen Sie den vollständigen Text für das Zertifikat ein, das Sie installieren möchten.

  • modify: Aktualisieren Sie das vorhandene PEM-kodierte X.509-Zertifikat mit dem angegebenen Zertifikat und verknüpfen Sie es mit dem öffentlichen SSH-Schlüssel. Fügen Sie den vollständigen Text für das neue Zertifikat ein.

  • delete: Entfernen Sie die vorhandene X.509-Zertifikatzuordnung mit dem öffentlichen SSH-Schlüssel.

Installieren Sie ein digitales Zertifikat für einen CA-signierten Server

Sie stellen diese Werte dem zur Verfügung security certificate generate-csr Befehl, wenn Sie eine digitale Zertifikatsignierungsanforderung (CSR) für die Authentifizierung einer Speicher-VM als SSL-Server generieren.

Feld

Beschreibung

Ihr Wert

-common-name

Der Name des Zertifikats, bei dem es sich um einen vollständig qualifizierten Domänennamen (FQDN) oder einen benutzerdefinierten gemeinsamen Namen handelt.

-size

Die Anzahl der Bits im privaten Schlüssel. Je höher der Wert, desto sicherer ist der Schlüssel. Der Standardwert ist 2048. Mögliche Werte sind 512, 1024, 1536, und 2048.

-country

Das Land der Storage VM in einem zweistelligen Code. Der Standardwert ist US. Eine Liste der Codes finden Sie auf den man-Pages.

-state

Der Status oder die Provinz der Storage-VM

-locality

Die Lokalität der Storage-VM.

-organization

Die Organisation der Storage-VM.

-unit

Die Einheit in der Organisation der Storage-VM.

-email-addr

Die E-Mail-Adresse des Kontaktadministrators für die Storage-VM.

-hash-function

Die kryptografische Hashing-Funktion zum Signieren des Zertifikats. Der Standardwert ist SHA256. Mögliche Werte sind SHA1, SHA256, und MD5.

Sie stellen diese Werte dem zur Verfügung security certificate install Befehl, wenn Sie ein CA-signiertes digitales Zertifikat zur Verwendung bei der Authentifizierung des Clusters oder der Speicher-VM als SSL-Server installieren. In der folgenden Tabelle sind nur die Optionen aufgeführt, die für die Kontenkonfiguration relevant sind.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, auf der das Zertifikat installiert werden soll.

-type

Der Zertifikatstyp:

  • server Für Serverzertifikate und Zwischenzertifikate

  • client-ca Für das öffentliche Schlüsselzertifikat der Root-CA des SSL-Clients

  • server-ca Für das öffentliche Schlüsselzertifikat der Root-CA des SSL-Servers, von dem ONTAP ein Client ist

  • client Für ein selbstsigniertes oder CA-signiertes digitales Zertifikat und einen privaten Schlüssel für ONTAP als SSL-Client

Konfigurieren Sie den Active Directory-Domänencontroller-Zugriff

Sie stellen diese Werte dem zur Verfügung security login domain-tunnel create Befehl, wenn Sie bereits einen SMB-Server für eine Datenspeicher-VM konfiguriert haben und die Storage-VM als Gateway oder Tunnel für den Active Directory Domain Controller-Zugriff auf das Cluster konfigurieren möchten.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Speicher-VM, für die der SMB-Server konfiguriert wurde.

Sie stellen diese Werte dem zur Verfügung vserver active-directory create Befehl, wenn Sie keinen SMB-Server konfiguriert haben und ein Storage-VM-Computerkonto in der Active Directory-Domäne erstellen möchten.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, für die Sie ein Active Directory-Computerkonto erstellen möchten.

-account-name

Der NetBIOS-Name des Computerkontos.

-domain

Der vollständig qualifizierte Domänenname (FQDN).

-ou

Die Organisationseinheit in der Domäne. Der Standardwert ist CN=Computers. ONTAP fügt diesen Wert an den Domänennamen an, um den Distinguished Name von Active Directory zu erzeugen.

Konfigurieren Sie den LDAP- oder NIS-Serverzugriff

Sie stellen diese Werte dem zur Verfügung vserver services name-service ldap client create Befehl, wenn Sie eine LDAP-Client-Konfiguration für die Storage-VM erstellen.

In der folgenden Tabelle sind nur die Optionen aufgeführt, die für die Account-Konfiguration relevant sind:

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM für die Client-Konfiguration.

-client-config

Der Name der Client-Konfiguration.

-ldap-servers

Eine kommagetrennte Liste von IP-Adressen und Hostnamen für die LDAP-Server, mit denen der Client verbunden ist.

-schema

Das Schema, das der Client zum Erstellen von LDAP-Abfragen verwendet.

-use-start-tls

Gibt an, ob der Client die Kommunikation mit dem LDAP-Server über Start TLS verschlüsselt (true Oder false).

Hinweis

Start TLS wird nur für den Zugriff auf Datenspeicher-VMs unterstützt. Es wird für den Zugriff auf Admin-Storage-VMs nicht unterstützt.

Sie stellen diese Werte dem zur Verfügung vserver services name-service ldap create Befehl, wenn Sie eine LDAP-Client-Konfiguration mit der Storage-VM verknüpfen.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, mit der die Client-Konfiguration verknüpft werden soll.

-client-config

Der Name der Client-Konfiguration.

-client-enabled

Gibt an, ob die Storage-VM die LDAP-Client-Konfiguration verwenden kann (true Oder false).

Sie stellen diese Werte dem zur Verfügung vserver services name-service nis-domain create Befehl, wenn Sie eine NIS-Domänenkonfiguration auf einer Storage-VM erstellen.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage-VM, auf der die Domänenkonfiguration erstellt werden soll.

-domain

Der Name der Domäne.

-active

Gibt an, ob die Domäne aktiv ist (true Oder false).

-servers

ONTAP 9.0, 9.1: Eine kommagetrennte Liste von IP-Adressen für die NIS-Server, die von der Domänenkonfiguration verwendet werden.

-nis-servers

Eine durch Kommas getrennte Liste von IP-Adressen und Hostnamen für die NIS-Server, die von der Domänenkonfiguration verwendet werden.

Sie stellen diese Werte dem zur Verfügung vserver services name-service ns-switch create Befehl, wenn Sie den Aufstellungsauftrag für Namensdienstquellen angeben.

Feld

Beschreibung

Ihr Wert

-vserver

Der Name der Storage VM, auf der die Look-Up-Reihenfolge des Namensservice konfiguriert werden soll.

-database

Die Namensdienstdatenbank:

  • hosts Für Dateien und DNS-Namensdienste

  • group Für Dateien, LDAP und NIS-Name-Services

  • passwd Für Dateien, LDAP und NIS-Name-Services

  • netgroup Für Dateien, LDAP und NIS-Name-Services

  • namemap Für Dateien und LDAP-Namensdienste

-sources

Die Reihenfolge, in der Sie Namensdienstquellen suchen (in einer kommagetrennten Liste):

  • files

  • dns

  • ldap

  • nis

Konfigurieren Sie den SAML-Zugriff

Ab ONTAP 9.3 liefern Sie diese Werte mit dem security saml-sp create Befehl zum Konfigurieren der SAML-Authentifizierung.

Feld

Beschreibung

Ihr Wert

-idp-uri

Die FTP-Adresse oder HTTP-Adresse des IdP-Hosts (Identity Provider), von dem aus die IdP-Metadaten heruntergeladen werden können.

-sp-host

Der Hostname oder die IP-Adresse des Host des SAML-Service-Providers (ONTAP-System). Standardmäßig wird die IP-Adresse der Cluster-Management-LIF verwendet.

-cert-ca Und -cert-serial, Oder -cert-common-name

Die Serverzertifikatdetails des Host des Service-Providers (ONTAP-System). Sie können entweder die Zertifizierungsstelle des Dienstanbieters und die Seriennummer des Zertifikats oder den allgemeinen Serverzertifikats eingeben.

-verify-metadata-server

Gibt an, ob die Identität des IdP-Metadatenservers validiert werden muss true Oder false). Die Best Practice besteht darin, diesen Wert immer auf festzulegen true.